[JSP] 쿠키 vs 세션

쿠키 대신에 세션을 사용하는 가장 큰 이유는 세션이 쿠키보다 보안에서 앞선다는 점이다. 쿠키의 이름이나 데이터는 네트워크를 통해 전달되기 때문에 HTTP 프로토콜을 사용하는 경우 중간에 누군가 쿠키의 값을 읽어올 수 있다. 하지만, 세션의 값은 오직 서버에만 저장되기 때문에 중요한 데이터를 저장하기에 알맞은 장소이다.

세션을 사용하는 두번째 이유는 (흔치 않지만) 웹 브라우저가 쿠키를 지원하지 않을 경우 또는 강제적으로 쿠키를 막는 경우 쿠키는 사용할 수 없게 되지만, 세션은 쿠키 설정 여부에 상관 없이 사용할 수 있다는 점이다. 서블릿/JSP는 쿠키를 사용할 수 없는 경우, URL 재작성 방식을 사용해서 세션 ID를 웹 브라우저와 웹 서버가 공유할 수 있다.

하지만, 세션은 여러 서버에서 공유할 수 없다. 예를 들어, www.daum.net의 세션과 mail.daum.net의 세션은 다르다. 반면에 쿠키는 도메인을 이용해서 쿠키를 여러 도메인 주소에 공유할 수 있다. 이러한 이유로 Daum과 같은 포털 사이트는 쿠키를 이용해서 로그인 정보를 저장한다.